苹果A12和A13芯片面临新的无法修复的漏洞

低保户也有人抢

安全研究公司 Paradigm Shift 日前公布了一项影响苹果 A12 和 A13  芯片的全新 BootROM（也称 SecureROM）漏洞细节，并释出一款名为“usbliter8”的概念验证攻击代码。BootROM 是 iPhone 开机时运行的首段底层代码，由于直接固化在芯片中，无法通过后续 软件更新修补，这意味着一旦发现安全缺陷，受影响设备在整个生命周期内都将持续处于风险之中。

苹果A12和A13芯片面临新的无法修复的漏洞

此前最后一次公开的同类 BootROM 漏洞是 2019 年曝光的“checkm8”，其影响范围覆盖从 iPhone 4S 到 iPhone X 的多代设备。本次的 usbliter8 则将这一历史向前推进了一代，波及采用 A12 与 A13 芯片的产品，包括从 iPhone XS 到 iPhone 11 系列在内的设备。

usbliter8 漏洞利用了苹果芯片中集成 USB 控制器的一处缺陷。当 iPhone 在启动过程中通过 USB 接收数据时，该控制器会使用一块内存缓冲区来存储传入的数据包。Paradigm Shift 研究人员发现，通过在启动阶段向设备发送特定序列、尺寸异常偏小的数据包，可以操控控制器内部的硬件指针，使其在内存中“向后行走”，从而将数据写入原本不应被访问的位置。研究团队指出，这更像是 USB 控制器硬件本身的设计缺陷，而非苹果软件层面的漏洞。

从具体芯片代际来看，A11 并不受影响，其所用 USB 驱动会在每次处理完数据包后手动重置指针，阻断了这一路径。而从 A14 开始，苹果在 BootROM 层面正确配置了相关内存保护机制，因此也能避免此类攻击。A12 与 A13 则处在二者之间的“灰色地带”，未获得上述防护，从而暴露在漏洞之下。

在 A12 设备上，攻击者一旦掌握利用方法，实现代码执行相对直接。但在 A13 设备上，情况明显更为复杂：这一代 芯片引入了名为 Pointer Authentication Codes（PAC，指针认证码）的安全特性，用于检测并阻断部分内存篡改行为。Paradigm Shift 表示，要在 A13 上绕过 PAC，需要一个冗长且多阶段的攻击链，经过多步操作才能最终夺取处理器控制权。

在成功取得控制权后，usbliter8 会在设备中安装一个可在重启后依旧存活的自定义处理程序。该处理程序可临时降低设备的安全策略等级，并允许引导未经签名的 软件，跳过原本严格的验证流程。作为成功入侵的标记，攻击利用还会向 iPhone 的 USB 序列号中注入传统的“PWND”字符串，延续了 checkm8 及更早期越狱漏洞的惯例。

Paradigm Shift 指出，usbliter8 本身并不会直接攻击 Secure Enclave（安全隔区），但一旦 BootROM 层被攻破，理论上就为进一步针对安全隔区的高级攻击打开了更广泛的空间。该公司已在公开前将相关发现报告给苹果产品安全团队，并与苹果方面协同完成了披露流程。完整的技术分析和概念验证代码已随报告一同发布在 Paradigm Shift 官网 ps.tc 上，供安全研究社区进一步研究。